Backdoor Weevil

Angry-Man-iconBulaştığı ortamda arka kapı bırakarak bilgi çalmak için tasarlanmıştır. Genelde AV’ler tarafından Trojan.Gen olarak tespit edilmektedir. Bunun anlamı şudur: henüz tam manasıyla imzası oluşturulmamış, ancak trojanın genel anlamda karakteristik özelliklerini taşıdığı için bu isim Trojan.Gen olarak geçmektedir. Weevil ve Weevil.B olarak iki türevi mevcuttur.

  • Adı : Backdoor Weewil
  • Keşif tarihi : 10.02.2014
  • Diğer isimleri : BKDR_CARETO.A [Trend],  Troj/Themas-D [Sophos]
  • Tipi: Trojan
  • Seviye : Orta
  • Platform : Windows 98, Windows 95, Windows XP, Windows Server 2008, Windows 7, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000

Bulaştığında aşağıdaki dosyaları oluşturur.

  • %System%\objframe.dll
  • C:\Documents and Settings\All Users\Application Data\Roaming\Microsoft\objframe.dll

Kayıt defterine;

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E6BB64BE-0618-4353-9193-0AFE606D6F0C}\”InprocServer32″ = “25 53 79 73 74 65 6D 52 6F 6F 74 25 5C 73 79 73 74 65 6D 33 32 5C 62 72 6F 77 73 65 75 69 2E 64 6C 6C 00”
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E6BB64BE-0618-4353-9193-0AFE606D6F0C}\”InprocServer32″ = “25 53 79 73 74 65 6D 52 6F 6F 74 25 5C 73 79 73 74 65 6D 33 32 5C 65 78 70 6C 6F 72 65 72 66 72 61 6D 65 2E 64 6C 6C 00” değerlerini girer.
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ECD4FC4D-521C-11D0-B792-00A0C90312E1}\”InProcServer32″ = “%System%\objframe.dll”
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ECD4FC4D-521C-11D0-B792-00A0C90312E1}\”InProcServer32″ = “C:\Documents and Settings\All Users\Application Data\Roaming\Microsoft\Roaming\Microsoft\objframe.dll” ayarlarını oluşturur ve değiştirir.

Akabinde aşağıda yazılı dll dosyalarını aramaya başlar;

  • %System%/CHTBRKR.DLL
  • %System%/CHTBRKR.DLL
  • %System%/CLICONFG.DLL
  • %System%/DMCONFIG.DLL
  • %System%/MFC42.DLL
  • %System%/MFWMAAEC.DLL
  • %System%/MSJET40.DLL
  • %System%/ntdsa.dll
  • %System%/oakley.dll
  • %System%/OPENGL32.DLL
  • %System%/PIDGENX.DLL
  • %System%/PNPUI.DLL
  • %System%/qmgr.dll
  • %System%/quartz.dll
  • %System%/VERIFIER.DLL
  • %System%/WMDRMDEV.DLL
  • %System%/WMDRMNET.DLL
  • %System%/WMICMIPLUGIN.DLL
  • %System%/WMNETMGR.DLL
  • %System%/WPDSP.DLL

Herhangi birini bulduğunda memory üzerinde zararlı kod ile birlikte çalıştırır ve bu şekilde arka kapıyı açmış olur.

Weevil.B ise bir önceki türevinden farklı olarak;

Öncelikle;

  • %Temp%\___<RANDOM NUMBER>.tmp
  • %System%\awcodc32.dll
  • %System%\awdcxc32.dll
  • %System%\bootfont.bin
  • %System%\jpeg1x32.dll
  • %System%\mfcn30.dll
  • %System%\vchw9x.dll
  • %System%\Drivers\scsimap.sys
  • %System%\c_50225.nls
  • %System%\c_50227.nls
  • %System%\c_50229.nls
  • %System%\Bootfont.bin dosyalarını oluşturur.

Akabinde kayıt defterinde;

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters\EnablePrefetcher = 2
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\scsimap\DisplayName = “scsimap”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\scsimap\ErrorControl = 1
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\scsimap\ImagePath = “System32\DRIVERS\scsimap.sys”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\scsimap\Start = 1
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\scsimap\Type = 1
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\scsimap\Enum = “Root\LEGACY_SCSIMAP000”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\scsimap\Enum\Count = 1
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\scsimap\Enum\NextInstance = 1
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\scsimap\Security\Security = <standard 0xA8 bytes>
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\scsimap\Params\Value = <0xAEB8 bytes>

dosyalarını oluşturur. Arka kapıyı açık bırakarak;

İşletim sistemi, donanım, çalışan uygulamalar, network bilgisi ve kullanıcı adı gibi kritik bilgileri gönderir. Ardından network trafiğini dinleyerek, hard disk loglarını görebilen saldırgan aynı zamanda klavyede hangi tuşa basıldığına dair bilgileri ele geçirebilir.

Reklamlar

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Google+ fotoğrafı

Google+ hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Connecting to %s